Tweet
Trong giới Security, chúng ta thường tập trung nhiều vào việc làm sao để "in" (Red Team) hoặc làm sao để "block" (Blue Team). Nhưng có một thực tế là: Bạn không thể bảo vệ (hoặc tấn công hiệu quả) những gì bạn không nhìn thấy. 1. Tại sao Monitoring là "xương sống" của Security?
Nhiều người lầm tưởng Security chỉ là Firewall hay Antivirus. Nhưng thực tế, Monitoring đóng vai trò:
2. Grafana + Prometheus: Liệu có thay thế được SIEM chuyên dụng?
Thông thường, Prometheus/Grafana được dùng để giám sát hiệu năng hệ thống (CPU, RAM). Tuy nhiên, với tư duy Security, chúng ta hoàn toàn có thể biến bộ đôi này thành một "SIEM thu nhỏ" cực kỳ lợi hại. Cơ chế hoạt động:
Kết luận
Dùng Grafana/Prometheus làm SIEM không phải là để thay thế hoàn toàn các giải pháp chuyên nghiệp, nhưng nó là phương án tối ưu nhất cho Lab cá nhân, startup hoặc các dự án nhỏ. Nó giúp bạn rèn luyện tư duy quan sát dòng chảy dữ liệu – một kỹ năng cực kỳ quan trọng dù bạn đang ở phe Red hay Blue.
Nhiều người lầm tưởng Security chỉ là Firewall hay Antivirus. Nhưng thực tế, Monitoring đóng vai trò:
- Phát hiện bất thường (Anomaly Detection): Một user bỗng dưng login vào lúc 3 giờ sáng từ một IP lạ? Chỉ có monitoring mới báo cho bạn biết.
- Phản ứng nhanh (Incident Response): Khi bị DDoS hoặc Ransomware lan truyền, từng giây đều quý giá. Dashboard giúp bạn biết ngay "đám cháy" bắt đầu từ đâu.
- Gỡ lỗi và Điều tra (Forensics): Sau một cuộc tấn công, logs là bằng chứng duy nhất để trả lời câu hỏi: Hacker đã lấy đi những gì?
2. Grafana + Prometheus: Liệu có thay thế được SIEM chuyên dụng?
Thông thường, Prometheus/Grafana được dùng để giám sát hiệu năng hệ thống (CPU, RAM). Tuy nhiên, với tư duy Security, chúng ta hoàn toàn có thể biến bộ đôi này thành một "SIEM thu nhỏ" cực kỳ lợi hại. Cơ chế hoạt động:
- Prometheus (Collector): Đóng vai trò thu thập dữ liệu (metrics) từ các node qua Node Exporter hoặc Process Exporter.
- Loki (Log Aggregator): Đây là mảnh ghép quan trọng. Nếu Prometheus giữ metrics, thì Loki giữ Logs. Nó giống như "Splunk phiên bản giá rẻ".
- Grafana (Visualizer): Nơi chúng ta tạo Dashboard để quan sát toàn bộ biến động.
- Thu thập Log hệ thống: Sử dụng Promtail để đẩy logs từ /var/log/auth.log, /var/log/syslog lên Loki.
- Giám sát kết nối mạng: Kết hợp với Blackbox Exporter để check trạng thái các service hoặc Suricata để đẩy các cảnh báo IDS/IPS về.
- Alerting Rule: Thiết lập các quy tắc cảnh báo trên Grafana. Ví dụ:
- Count(Login_Failed) > 10 trong 1 phút -> Bắn Alert về Telegram/Discord ngay lập tức.
- Sự thay đổi bất thường của dung lượng file trong thư mục web -> Cảnh báo nguy cơ bị chèn webshell.
| Tiêu chí | Grafana/Prometheus (Loki) | SIEM truyền thống (Splunk/ELK) |
| Chi phí | Rất thấp (Open Source, nhẹ máy) | Rất cao (License hoặc tốn RAM) |
| Tốc độ | Cực nhanh với dữ liệu dạng Time-series | Chậm hơn khi query dữ liệu lớn |
| Độ sâu Security | Cần cấu hình thủ công nhiều | Có sẵn các rule SOC/Compliance |
Dùng Grafana/Prometheus làm SIEM không phải là để thay thế hoàn toàn các giải pháp chuyên nghiệp, nhưng nó là phương án tối ưu nhất cho Lab cá nhân, startup hoặc các dự án nhỏ. Nó giúp bạn rèn luyện tư duy quan sát dòng chảy dữ liệu – một kỹ năng cực kỳ quan trọng dù bạn đang ở phe Red hay Blue.